probleme de malware

[invite650b224f]

Bonjour,
tout dabord coup de chapeau aux animateurs de ce site et de ce forum .
bon voila mon probleme depuis quelques temps j'ais droit a des pop up de type systeme doctor ,wininternet securiti 2006,un peu de X ,casino divers et club de rencontre (en plus suis marié .)
alors voila j'ais suivi la procedure malware premier geste(tres bien fait meme moi j'arrive a comprendre et je ne suis pas une lumiere dans ce domaine )et vous joint les rapports d'AVG et hidjackthis (imprononcable ce programme) bon voila je laisse aux pro l'etude de mon cas en esperant qu'il ne soit pas trop desesperé.
merci par avance
cordialement globule31
-----

[invite275db609]

Bonjour Globule, et bienvenue sur Futura-Sciences

Merci pour tes mots sympas ...
Attaquons nous a ton probleme, fais ce qui suit, stp :

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[invite650b224f]

bonjour et merci a toi de t'occuper de mon cas bon j'ai telecharger et execute blacklight par contre lorsque je doubleclick blbetac.exe je n'ais accé a rien il scane et affiche un rapport je l'ais fait 2 fois ce ne sont pas les meme c'est pourquoi je t'en poste 2
merci d'avance
voici le premier:

[invite650b224f]

Log supprimé.

[A voir en vidéo sur Futura]

[invite650b224f]

Log supprimé.

[invite650b224f]

Log supprimé et mis en pièce jointes.
Merci de tenir compte des instruction de cette procédurequi dit:

Remplacez l'extension .log du fichier ainsi créé par .txt et mettez-le en pièces jointes dans votre prochain message (en pièces jointes signifie : pas dans le corps du message).

Pour la modération.

[invite275db609]

Reu ...

Tu dois poster tes rapports en PIECE JOINTE, fais-y attention la prochaine fois ...

Sais-tu ce que sont ces dossiers ? : d:\Auxitec\sauvegarde portable\reception sca\receptionner ras\Recep_SCA_70664_MILLAU\
Je comprend bien que ce sont des sauvegardes a priori d'un autre Pc, mais ces fichiers sont cachés, comment cela se fait-il ?

• Télécharge clean.zip de Malekal_Morte ( http://www.malekal.com/download/clean.zip ), décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Redémarre en mode sans echec ...

Lance hijakcthis et clique sur Do a System Scan Only.
Coche les cases suivantes, si présentes :

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Cherche et supprime le fichier suivant (en gras) :
C:\windows\system32\kgntul.exe

• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Redémarre en mode normal ...

• Télécharge DiagHelp.zip de Malekal_morte sur ton bureau :
• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout.
• Un nouveau dossier chercher va être créé DiagHelp.
• Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître).
• Une fenêtre va s'ouvrir, choisis l'option 1.
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
• Copie/colle le rapport en piece jointe

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi les rapports suivants :

• Clean
• Diaghelp Option1
• Kaspersky OnLine
• Un nouveau rapport hijackthis

@ tout bientot

[invite650b224f]

re synthexe
le dossier d:\Auxitec\sauvegarde portable\reception sca\receptionner ras\Recep_SCA_70664_MILLAU\
c'est du boulot photo et dossier exel je ne sait pas pourquoi il est caché.

je n'ais pas pu metre le premier rapport en piece jointe 35K il ne me le prenait pas mai il est vrai que j'aurais pu metre le second dsl.
je vais executer la procedure que tu m'a donner mais pas desuite j'ai du boulot
j'aisserais en fin d'am ou ce soir.
mais je tien dejas a te remercier du temp que tu m'accorde.
@ bientot

[invite650b224f]

me revoilou avec les rapports les manips ont étés faitent sans problemes particulié

merci et @ bientot

[invite275db609]

On enchaine, on vient de voir apparaitre l'infection ....

Une chose avant de démarrer, tu ne devrais pas cracker de logiciel antivirus, il existe de très bon gratuit qui te permettent de rester dans la légalité ... (les cracks sont vecteurs de virus [ http://forum.zebulon.fr/index.php?showtopic=93281 ], tout comme le P2P [ http://forum.zebulon.fr/index.php?showtopic=85544 ], Emule par exemple) ...

Allez, c'est parti :

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
Sauvegarde dans le dossier créé (C:\BFU).
**Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Lance hijacktis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O4 - HKLM\..\Run: [crack kav] C:\DOCUME~1\GUEST\Save Kaspersky.bat

Ferme tous les programmes ouverts, sauf hijackthis et clique sur Fix Checked.

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Cherche et supprime les fichiers suivants (en gras), si présents :
C:\windows\system32\kgntul.exe <-- le fichier
C:\windows\system32\kgntul.dat <-- le fichier
C:\windows\system32\kgntul_nav.dat <-- le fichier
C:\windows\system32\kgntul_navps.dat <-- le fichier
C:\DOCUME~1\GUEST\Save Kaspersky.bat <-- le fichier

Redémarre en mode normal ...

As-tu encore des dysfonctionnements ?
Poste moi un nouveau rapport hijackthis ...

Bonne soirée

[invite275db609]

EDIT : Tu dois aussi cocher cette ligne la sur hijackthis pour la fixer :

O4 - HKLM\..\Run: [kgntul] c:\windows\system32\kgntul.exe kgntul

[invite650b224f]

re synthexe
bon voila j'ai effectué les manips
les 4 fichier de type kgntul n'etaient pas presents
je te joint le rapport hijackthis

petit b molpour passer en mode sans echec je suis passer par le chemin demarer executer msconfig
boot.ini pour cocher safeboot
mais pour repasser en mode normal lorsque je decoche la case je demare en mode demarage selectif et pour passer en mode normal il me demande une retauration du systeme je fais quoi la
en attendant de tes nouvelles rien je ne touche a rien
merci encore et @ bientot
dsl pour le rapport mai je n'arrive pas a le joindre

[invite650b224f]

ben la voila

[invite650b224f]

a non toujours pas

[yoda1234]

Bonjour,

si tu n'arrive pas a "uploader" le rapport, met le directement dans le corps du message: Je m'en charge.

[invite275db609]

Bonjour (merci yoda)

les 4 fichier de type kgntul n'etaient pas presents

C'est normal, ils ont du etre dégager par egdaccess.bfu

Peux-tu me donner le message pour la resto stp ...

Bonne journée (si tu peux poster les rapports quand meme)

[invite650b224f]

bonsoir
j'ai posté le rapport hijackthis
le message pour la resto est le suivant:

vous avez utilisez l'utilitaire configuration systeme pour modifier la maniere dont window demare.
l'utilitaire de config systeme est actuelement en mode de demarage diagnostique ou selectif ce qui provoque l'affichage de ce message et l'execution de l'utilitaire a chaque demarage de windows.
choisissez le mode de demarage normal dans l'onglet general pour demarer window de facon normale et annuler les modifications effectuées a l'aide de l'utilitaire de configuration du systeme.

lorsque je decoche safeboot dans l'onglet boot.ini le demarage diag ou selectif se coche automatiquement dans l'onglet general.
bon voilou @ bientot et bon week

[invite275db609]

Bonsoir globule

Fixe la ligne suivante dans hijackthis :
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Bi naries\MSConfig.exe /auto

Poste moi un rapport hijackthis en mode normal stp ...

Ou en es-tu dans tes dysfonctionnements ?

Bonne soirée

[invite650b224f]

bsr synthex
ci joint rapport
pour l'instant plus de popup ca a l'air bon mais faut que je teste sur les autres utilisateurs
@ +

[invite275db609]

Parfait

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 2, gratuits et performants :
Tu as par exemple zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Tu as aussi Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Tu peux faire aussi ceci :
Supprime BFU et blacklight

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Recachons nos fichiers et dossiers cachés (pour etre sur de ne pas faire une mauvaise manip ...)

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Désctive la case : "Afficher les fichiers et dossiers cachés"
• Active la case : "Masquer les extensions des fichiers dont le type est connu"
• Active la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Tiens moi au courant

Bonne soirée ...

[invite275db609]

Je te conseille aussi de lire le tres bon dossier de Futura sur la protection d'un ordinateur personnel de JPL, il y a beaucoup a apprendre ...

[invite650b224f]

bonjour synthexe
en fire wall j'utilise kaspersky anti hacker je veu bien en metre un deuxieme mai je voudrai etre sur qu'il n'y est pas d'incompatibilitées.

pour suprimer blacklight j'ai suprimé le dossier diaghelp qui avait eté crée lors de l'instal j'espere que c'etait ca.

en ce qui concerne mon probleme de redemarage en mode normal ce n'est toujours pas resolu je suis toujours en mode diag selectif
dans l'onglet general lorsque je coche le demarage normal il me coche automatiquement safeboot dans l'onglet boot.ini et du coup je redemare en mode sans echec.
merci encore de ton aide et de tes procedures pas a pas simple a conprendre et a executer
@ bientot

[invite275db609]

Bonjour et bon dimanche

Ok pour le firewall, c'est bon, n'en installe pas d'autre si tu en a deja un ...
Pour le boot, demande au message lorsque tu arrives sur XP de ne pas redémarrer en mode selectif, choisis le mode normal pour eviter que MSConfig ne se lance au démarrage ...
Tu as bien fait de supprimer diaghelp (je l'avais oublié), mais tu dois aussi avoir blacklight que tu peux aussi dégager ...

Bon dimanche

[invite650b224f]

bonjour a tous,
je repond un peu tard mais je vien de changer de fournisseur d'acces et le temps que tous se face
plus d'acce internet
bon voila je voulais vous remercier et plus particulierement synthexe qui c'est occupé de mon cas
probleme de malware resolu
mon pc redemare toujour en mode selectif mais bon j'ai decidé qu'il etait temps de le formater et de remonter un pc propre et sans le tas de logiciel et tout les truc qui ne me servent a rien ci ce n'ais de bouffer de la place sur le disque
alors encore une foie merci
et longue vie a ce forum.

[invite275db609]

Coucou globule

Je te conseille de lire le tres bon dossier de Futura sur la protection d'un ordinateur personnel de JPL, il y a beaucoup a apprendre ...
Mets tous ces conseils en application et ta machine sera beaucoup mieux sécurisée ...

Bon dimanche ...